我们目前拥有以下环境(在2008 R2上的服务器2003和terminal服务器上托pipe),我们需要将其升级到2012版本。 我们将从头开始创造一个新的环境。
每个客户在我们的AD中都有他们自己的OU,并且使用拒绝(ADSIedit),他们在Exchange中不能看到对方,也不能作为普通对象(如文件夹权限)。
我们不想再次使用这些技巧,而是有一个深思熟虑的活动目录devise。
现在,我已经使用了这个,但似乎这是不可能的(至less,本地)。 我们仍然需要使用adsiedit和做技巧来获得多租户环境。 关于Exchange,我们考虑过为客户端使用Office 365。
我想知道我是否误解了某些内容,或者是否有什么遗漏来创build多租户2012 R2环境。
没有为多租户环境设置Active Directory中的默认权限。 您将不得不对股票权限进行修改才能完成要查找的内容。 这只是产品devise的本质。
如果您可以摆脱单一的AD森林,并迁移到多个不相互信任关系的帐户森林(可以说Windows Server 2012 Datacenter许可证有助于启用),那么您将不得不做很less的“攻击”AD权限森林是primefaces安全的边界。 在这种情况下,您可以使用单向不敏感的信任关系维护资源林。
虽然Evan是正确的,但是如果不在ADSIEdit中滥用权限ACL,就无法真正做到自己想做的事情,我想我会继续提出一个在大规模生产环境中使用的替代方法:
您可以使用列表对象模式实现Active Directory中的多租户devise。 在这里阅读所有信息:
https://www.myotherpcisacloud.com/post/2013/05/20/Active-Directory-List-Object-Mode.aspx
列表对象模式仍然被视为“黑客入侵权限”,但与将拒绝ACE放在所有内容上相比,这是一个更为干净的地狱。
虽然您无法在Exchange Server 2010或2013中使用ADSIEdit方法,但可以使用Exchange Server 2010或2013的多租户function。更简单的解决scheme(以及我用于具有类似需求的客户端的一种解决scheme)是使用Exchange Server 2010或2013中的通讯簿策略,以提供您所需的分隔和隔离。
http://technet.microsoft.com/en-us/library/hh529948(v=exchg.150).aspx